Notu.laNotu.la
beveiligingsecurity

Secure by design.Secure by design.

Je vergaderingen zijn vertrouwelijk. Beveiliging is daarom geen extra laagje, maar het uitgangspunt - van het datacenter tot de laatste regel code.Your meetings are confidential. So security isn't an extra layer - it's the starting point, from the data centre to the last line of code.

Laatst bijgewerkt: 18 juni 2026Last updated: 18 June 2026

01Onze belofteOur commitment

Notu.la is een product van SCRTY B.V. (handelsnaam Cauldron One Development). We werken met een informatiebeveiligingsbeleid dat is afgestemd op ISO 27001 en verbeteren onze beveiliging doorlopend.Notu.la is a product of SCRTY B.V. (trading as Cauldron One Development). We run an information security programme aligned with ISO 27001 and improve our posture continuously.

hostinghosting
EU, eigen beheerEU, self-managed
onderwegin transit
TLS 1.2+
in rustat rest
AES-256
kadersframeworks
GDPR · NIS2

02InfrastructuurInfrastructure

  • Data-residentie: alle systemen draaien op infrastructuur die SCRTY B.V. zelf bezit en beheert in Europese datacenters. Geen Amerikaanse cloudaanbieders.Data residency: all systems run on infrastructure owned and operated by SCRTY B.V. in European data centres. No US cloud providers.
  • AI binnen de EU: de samenvattingen worden gemaakt via de API van Mistral AI in Frankrijk, onder een verwerkersovereenkomst. Mistral traint niet op je gegevens.AI within the EU: summaries are produced via the API of Mistral AI in France, under a data processing agreement. Mistral does not train on your data.
  • Versleuteling onderweg: TLS 1.2 of hoger op alle verbindingen.Encryption in transit: TLS 1.2 or higher on all connections.
  • Versleuteling in rust: AES-256 voor opslag en uploads, met gescheiden sleutelbeheer (envelope-encryptie).Encryption at rest: AES-256 for storage and uploads, with separated key management (envelope encryption).
  • Hardening: elke server wordt bij installatie gehard volgens de CIS Benchmarks.Hardening: every server is hardened to the CIS Benchmarks at provisioning.
  • Netwerk: productiesystemen zijn afgeschermd met strikte firewallregels.Network: production systems are isolated behind strict firewall rules.
  • Monitoring: een centrale SIEM verzamelt logs voor detectie van dreigingen in realtime.Monitoring: a central SIEM aggregates logs for real-time threat detection.

03ApplicatiebeveiligingApplication security

  • Isolatie: gegevens van klanten zijn strikt van elkaar gescheiden.Isolation: customer data is strictly separated.
  • Toegangsrechten: rolgebaseerde toegang met rechten per onderdeel.Access rights: role-based access with entity-scoped permissions.
  • Audit-logging: volledige logs van aanmaken, wijzigen en verwijderen, met identiteit en tijdstip.Audit logging: full logs of create, update and delete actions, with identity and timestamp.
  • Invoervalidatie: beschermd tegen de OWASP Top 10, waaronder injectie en XSS.Input validation: protected against the OWASP Top 10, including injection and XSS.

04Kwetsbaarheden & patchesVulnerabilities & patches

  • Statische code-analyse (SAST) bij elke build.Static application security testing (SAST) on every build.
  • Een software bill of materials (SBOM) die we afzetten tegen bekende kwetsbaarheden (CVE's).A software bill of materials (SBOM) matched against known vulnerabilities (CVEs).
  • Geautomatiseerde updates van afhankelijkheden, met tests in de CI/CD-pijplijn.Automated dependency updates, tested in the CI/CD pipeline.
  • Een build faalt als er een ernstige kwetsbaarheid wordt geïntroduceerd.A build fails if a high-severity vulnerability is introduced.
  • Kritieke kwetsbaarheden pakken we binnen 24 uur aan.Critical vulnerabilities are addressed within 24 hours.

05Toegang & authenticatieAccess & authentication

  • Voor medewerkers van SCRTY B.V. is multifactor-authenticatie (MFA) verplicht.For SCRTY B.V. staff, multi-factor authentication (MFA) is mandatory.
  • Principe van minimale rechten voor toegang tot productie.Principle of least privilege for production access.
  • Geen standaardtoegang: klantgegevens worden alleen geraadpleegd op expliciet verzoek om ondersteuning, en altijd gelogd.No standing access: customer data is accessed only on an explicit support request, and always logged.
  • Ondersteuning voor SSO/OIDC (zoals Keycloak, Okta, Azure AD) waar van toepassing.SSO/OIDC support (such as Keycloak, Okta, Azure AD) where applicable.

06Normen & kadersStandards & frameworks

  • ISO 27001 (afgestemd op)ISO 27001 (aligned)
  • CIS BenchmarksCIS Benchmarks
  • OWASP Top 10OWASP Top 10
  • AVG / GDPRGDPR
  • NIS2 (EU-richtlijn 2022/2555)NIS2 (EU Directive 2022/2555)

07Verantwoorde openbaarmakingResponsible disclosure

Denk je een kwetsbaarheid te hebben gevonden? Laat het ons weten - we waarderen het.Think you've found a vulnerability? Let us know - we appreciate it.

  • Meld het bij security@cauldron.one.Report it to security@cauldron.one.
  • We bevestigen ontvangst binnen 2 werkdagen.We acknowledge receipt within 2 business days.
  • Geen juridische stappen tegen onderzoekers die te goeder trouw handelen.No legal action against good-faith researchers.
  • Vermelding op verzoek. We hebben (nog) geen bug-bountyprogramma.Credit on request. We don't (yet) run a bug bounty programme.
Geef ons een redelijke termijn om een melding op te lossen voordat je deze openbaar maakt, en raak geen gegevens van anderen aan.Please give us reasonable time to resolve a report before disclosing it publicly, and don't access data that isn't yours.

08ContactContact

Beveiligingsvragen? Mail security@cauldron.one. Voor privacy zie ons privacybeleid.Security questions? Email security@cauldron.one. For privacy, see our privacy policy.

Terug naar Notu.laBack to Notu.la